草根影響力新視野 夜未央編譯

當今,中國製造的醫療設備逐漸引起關注,並成為網路安全風險的焦點。儘管這些設備的普及帶來了許多便利,專家們警告,這些設備的安全漏洞可能會對美國的醫療系統構成嚴重威脅。近期,Contec CMS8000這款醫療監測儀便成為備受關注的問題設備。這款設備主要用來追蹤病人的生命體徵,包括心電圖、心率、血氧飽和度、非侵入性血壓、體溫及呼吸頻率等。近來,美國FDA(食品藥品監督管理局)與CISA(網路安全與基礎設施安全局)都發出了警告,指出該設備存在「後門」,這是一個易於被利用的漏洞,可能讓駭客輕易更改設備配置。

CISA的研究團隊描述了該設備的「異常網路流量」,並指出後門使設備能夠下載並執行未經驗證的遠端檔案,這些檔案的IP地址不是來自醫療設備製造商或醫療機構,而是來自第三方大學。這樣的行為與醫療設備的一般做法極為不符,顯示出明顯的安全隱患。CISA進一步解釋說,這一漏洞的後果可能會非常嚴重。舉例來說,若設備錯誤顯示病人的腎臟功能失常或呼吸衰竭,醫護人員可能因此進行不必要的處置,這些處置可能對病人造成傷害。

醫療與IT領域的專家對Contec設備的安全漏洞並不感到意外。他們早已警告過,許多醫療設備的安全措施過於薄弱,這可能會導致一場巨大的安全危機。西科夫大學商學院的教授克里斯多福·考夫曼(Christopher Kaufman)專門研究IT與顛覆性技術,他指出,醫療設備的安全隱患可能會迅速惡化,成為一個亟待解決的重大問題。

美國醫院協會(AHA)也對中國製造的醫療設備在美國市場的廣泛使用表示擔憂。AHA代表著美國超過5000家醫院和診所,該協會認為來自中國的醫療設備對美國醫療系統構成了嚴重的安全威脅。對於Contec設備的安全問題,AHA強烈呼籲儘快解決這一漏洞。AHA的國家網路安全與風險顧問約翰·里吉(John Riggi)指出,這一問題應該被列為優先處理的問題,並強調「在駭客入侵之前,我們必須先進行修補」。

CISA報告中指出,目前尚未有可用的軟體補丁來解決這一漏洞,但政府正與Contec公司合作,試圖解決這一問題。然而,問題的根源在於,目前尚不清楚美國境內究竟有多少台這種監測儀。里吉表示,由於醫院中設備數量龐大,無法確定具體數量,而根據估計,這些設備在美國的數量可能達到數千台。里吉進一步指出,中國對這些設備的潛在訪問權限,可能對美國的醫療數據、戰略安全和供應鏈造成極大風險。

房間 空的 醫院 醫 病 床 診所 保健 醫藥 生病 治療 病房 健康 關懷 設備 臨床 急 地板 復原 內 保險 復甦 毯子 室內 清潔 自在 幫助 室內 外傷 沒有人 援助 作業 不育 手術
圖片取自:(示意圖123rf)

短期內,FDA建議醫療系統和患者確保該設備僅在本地運行,或者禁用任何遠程監控功能;如果遠程監控是唯一選擇,則應該在有可替代設備的情況下停止使用該設備。到目前為止,FDA表示未發生任何與該漏洞相關的網路安全事件、傷害或死亡情況。AHA也告知其成員,直到該漏洞的修補程序出台,醫院應該確保該設備無法再連接到互聯網,並且與醫院內部網路進行隔離。

儘管Contec監測儀暴露的漏洞引發了廣泛關注,但這也僅僅是眾多來自中國的醫療設備中,存在安全隱患的一個典型例子。里吉指出,許多美國醫院因為預算有限,常常選擇購買來自中國的低價醫療設備。這些設備可能會讓中國對美國的醫療信息產生訪問權限,並將收集到的數據轉交回中國,這些數據的後續處理方式鮮為人知。雖然從當前的情況來看,醫療風險主要體現在數據的收集和再利用上,但里吉也指出,從理論上來看,名人或其他重要人物的醫療設備,可能會成為駭客攻擊的目標。

資訊安全研究員阿拉斯·納札羅瓦斯(Aras Nazarovas)也對CISA的警告表示擔憂。他指出,像Contec CMS8000這樣的醫療設備通常會接入敏感的病人數據,並直接與生命攸關的功能相連。當這些設備的防護措施不足時,它們就成為駭客的易攻目標,可能會被遠端操控,進而改變設備顯示的數據或設定,甚至完全禁用設備。納札羅瓦斯警告說,如果設備不夠安全,駭客甚至可以在醫院或患者毫無察覺的情況下,遠程改變設備的運行方式。

醫療設備漏洞的後果可能是致命的。納札羅瓦斯舉例說,如果一個病人的監測儀突然停止向醫生發出心率過低的警報,或發送錯誤的數據,這將導致誤診或診斷延誤,從而對病人造成生命威脅。他進一步指出,Contec CMS8000Epsimed MN-120(這是同款設備的另一品牌名稱)可能成為駭客入侵醫院網路的入口。

越來越多的醫院和診所開始關注這一問題。阿拉斯加州朱諾市的巴特利特地區醫院就表示,雖然該院並未使用Contec監測儀,但他們始終保持對安全風險的關注。巴特利特醫院發言人艾琳·哈丁(Erin Hardin)表示:「隨著醫院面臨的網路安全攻擊風險增加,我們必須定期進行監控。」

然而,正如考夫曼所指出的,僅僅依賴常規的監控手段,仍無法解決設備本身安全性差的根本問題。他還指出,政府機構負責保障醫療設備安全的部門正面臨裁員和資源削減,這使得許多負責審查醫療設備安全的FDA員工已經離開,進一步加劇了這一問題的惡化。根據20221月美國政府問責辦公室的報告,超過一半的連網醫療設備存在已知的重大安全漏洞。考夫曼擔心,隨著時間推移,這一問題只會愈發嚴重。

醫療設備的安全問題早已為人所知,然而,這些問題的後果可能極為嚴重,甚至會對醫療系統本身造成災難性的影響。醫療數據公司Censys的資深安全研究員西拉斯·卡特勒(Silas Cutler)也指出,這一問題的後果可能不僅限於高層人士,對普通患者而言,醫院系統遭遇攻擊,造成的連鎖反應可能更加致命。

資料來源https://www.cnbc.com